tecnica hacker per avviare file exe da qualunque formato...come si chiama?

[totigno]

ciao ragà...una volta lessi un articolo (forse addirittura da hwupgrade) un modo per "collegare" a un file un altro file con formato exe (magari un malware)...la cosa bella di questa tecnica è che ad esempio avviando un mp3si può avviare anche un file exe, e dalle proprietà dell'ipotetico mp3 non si vedrebbero le dimensioni effettive del file (exe + mp3)..si faceva col prompt dei comandi...ho fatto avviare da un .doc la calcolatrice di windows...ma mò non ricordo come si fa e non riesco a trovare niente su internet...qualcuno di voi ne è a conoscenza?

[spakko]

Cerca rootkit
Ciauz

[z4rgon]

Forse ti riferisci al vecchio copy /b

[totigno]

Quote:

Originariamente inviato da spakko

Cerca rootkit
Ciauz

no non era un rootkit

Quote:

Originariamente inviato da z4rgon

Forse ti riferisci al vecchio copy /b

no nemmeno...

[hibone]

quella tecnica non esiste...
al massimo puoi ingannare l'utente e camuffare l'icona e l'estensione del file...
poi l'exe lancia esegue anche il file, mp3 o simili che contiene.

in ogni caso prova su "programmazione & software" credo ti sappiano dare una risposta più puntuale.

[The Unmaker]

code injection?
stenografia?

[hibone]

Quote:

Originariamente inviato da The Unmaker

code injection?
stenografia?

la code iniection si fa sugli eseguibili, spesso su quelli "in esecuzione"...


la stenografia!?
famosa tecnica hacker usata prevalentemente dalle segretarie, altrimenti detta "cha cha cha"

al limite parli di steganografia?! ma quella serve solo a nascondere le cose...
affinchè windows esegua un programma deve assegnargli spazio in memoria, se il programma viene inserito, che so in un mp3, senza sfruttare bug o altro, viene letto come un mp3 non eseguito...

[totigno]

no non sono nemmeno queste...
non vorrei sbagliarmi...ma l'ho letta sta cosa...

[hibone]

Quote:

Originariamente inviato da totigno

no non sono nemmeno queste...
non vorrei sbagliarmi...ma l'ho letta sta cosa...

ci sono comunque due punti da approfondire:
"la fonte": di sparaminchiate ce ne sono fin troppi in giro...
"il contesto": magari parlavano di overflow dello stack e hanno inserito la classica frase ad effetto del tipo:

"con questa tecnica è virtualmente possibile eseguire un programma da qualsiasi file" lasciando sottointeso che tale evenienza è tutt'altro che automatica e richiede specifiche condizioni.

ps. diffida di pc professionale

[totigno]

non so che intendi con overflow dello stack...perchè per quanto ne so io gli stack sono porzioni di memoria utilizzate x immagazinare eventi di tipo hardware...ma se dici così ti credo...ma comunque non è quello che ho sentito...e la fonte sono quasi sicuro che sia il nostro caro hwupgrade...piccoli lapsus

[hibone]

Quote:

Originariamente inviato da totigno

non so che intendi con overflow dello stack...perchè per quanto ne so io gli stack sono porzioni di memoria utilizzate x immagazinare eventi di tipo hardware...ma se dici così ti credo...ma comunque non è quello che ho sentito...e la fonte sono quasi sicuro che sia il nostro caro hwupgrade...piccoli lapsus

se non vado errando con "stack" si intende usualmente un metodo di gestione della memoria, dove stack sta per "pila" intesa come pila di piatti, in contrapposizione a buffer, se non erro...

che io ricordi quando un programma viene eseguito e caricato in memoria gli vengono assegnate più porzioni di memoria da parte dell'os...

non che mi ricordi molto, ma mi pare fossero due, una contente il codice del programma, e una contenente le informazioni elaborate o da elaborare

poichè generalmente i due spazi di memoria sono contigui se si riesce a saturare lo stack sfruttando che so, i bug del programma, si riesce a scrivere nella regione destinata alle istruzioni da eseguire, ed è possibile assegnare al pc istruzioni arbitrare.

in questo senso è possibile eseguire un programma, ma le condizioni da soddisfare sono diverse...

ovviamente ci sono diverse varianti di questa tecnica...

si parla allora di stack overflow buffer overflow e heap overflow...

qui e su wiki puoi trovare qualche delucidazione.
http://www.andreafabrizi.it/2007/03/...w-ed-exploits/

beh senza pretesa di far lezione a nessuno, il punto su cui volevo andare a parare è il fatto che quando si utilizza windows, che io sappia è il sistema operativo che stabilisce con quale programma aprire un dato file, quindi se un file è che so un mp3 o un'immagine essa verrà aperta con il visualizzatore corrispondente, che interpreterà il codice come dati musicali o visivi, quindi non vengono eseguiti come istruzioni se non si verifica qualcos'altro.

sfruttando qualche baco di windows potrebbe però essere possibile ingannare l'utente e far apparire un file eseguibile come un mp3 o altro file, sia come icona che come estensione. l'eseguibile una volta lanciato maschera la propria attività eseguendo effettivamente il file ( esempio: un autoestraente con winrar che contiene effettivamente un mp3 ) e nel frattempo installa il virus.

non dico che non sia possibile lanciare un .exe da un qualsiasi file, ma lo trovo improbabile farlo così su due piedi, cmq non essendo un programmatore non so dirti di più...

[totigno]

Quote:

Originariamente inviato da hibone

se non vado errando con "stack" si intende usualmente un metodo di gestione della memoria, dove stack sta per "pila" intesa come pila di piatti, in contrapposizione a buffer, se non erro...

che io ricordi quando un programma viene eseguito e caricato in memoria gli vengono assegnate più porzioni di memoria da parte dell'os...

non che mi ricordi molto, ma mi pare fossero due, una contente il codice del programma, e una contenente le informazioni elaborate o da elaborare

poichè generalmente i due spazi di memoria sono contigui se si riesce a saturare lo stack sfruttando che so, i bug del programma, si riesce a scrivere nella regione destinata alle istruzioni da eseguire, ed è possibile assegnare al pc istruzioni arbitrare.

in questo senso è possibile eseguire un programma, ma le condizioni da soddisfare sono diverse...

ovviamente ci sono diverse varianti di questa tecnica...

si parla allora di stack overflow buffer overflow e heap overflow...

Ah ho capito..grazie per le delucidazioni...ottimo sistema anche questo...ma non è cosa mia farlo...qui ci vogliono hacker!
quella cosa che dico io modifica qualcosa all'interno del file system avviando contemporaneamente 2 file...e 1 dei 2 risiede nell'altro e da proprietà del file visualizza solo il file principale...uffaaaaaaa


EDIT:non vorrei sbagliare ma quest'articolo è una news di hwupgrade...ricevuta max negli ultimi 2anni... si può avere il link di tutto l'archivio news?

[hibone]

Quote:

Originariamente inviato da totigno

Ah ho capito..grazie per le delucidazioni...ottimo sistema anche questo...ma non è cosa mia farlo...qui ci vogliono hacker!
quella cosa che dico io modifica qualcosa all'interno del file system avviando contemporaneamente 2 file...e 1 dei 2 risiede nell'altro e da proprietà del file visualizza solo il file principale...uffaaaaaaa

ah dimenticavo...

esiste un software chiamato silkrope con cui è possibile nascondere un virus dentro un altro eseguibile, ma naturalmente il file che contiene il virus deve per forza essere un eseguibile, non un file qualsiasi.

invece agendo sul file di registro è possibile avviare un programma ogni volta che windows accede ad un file qualsiasi, ma in questo caso il virus non è necessariamente contenuto nel file che viene eseguito.

[spakko]

Ciao , ma per caso dici questo ?

LINK

Quote:

5 Esempio di ADS

Questo riportato di seguito è un semplice esempio di un eseguibile nascosto in un file di testo per mostrare in maniera semplificata il funzionamento di un rootkit.
Apriamo esplora risorse, selezioniamo il disco di sistema, creiamo una nuova cartella e diamogli il nome di “Prova”. Adesso apriamo il Notepad di Windows e creiamo un nuovo file, scriviamo una frase qualsiasi, salviamo il file con un nome a piacimento “prova.txt” e chiudiamo il file, sempre da esplora risorse portiamoci nella cartella prova e verifichiamo le proprietà del file appena creato. Noteremo che l’estensione è .txt e avrà una certa dimensione.
Ora andiamo al Prompt del dos. Ci troveremo nella schermata nera del dos, a questo punto portiamoci nella cartella che abbiamo creato e digitiamo quanto segue
type c:\windows\system32\calc.exe > prova.txt:rootkit.exe

con questo comando abbiamo "appeso" uno streams di nome rootkit.exe nel file prova.txt, in sostanza abbiamo nascosto un file .exe nel file prova.txt, andiamo ora a controllare il nostro file e noteremo che la dimensione è sempre la stessa per cui nulla è cambiato. Ritorniamo ora al dos, e portiamoci nella cartella Prova e digitiamo questo comando
start c:\Prova\prova.txt:rootkit.exe

premiamo invio e .....
è comparsa la calcolatrice di windows.
In sostanza il file rootkit.exe lancia il file calc.exe, con semplici comandi dos abbiamo costruito un piccolo rootkit, se al posto di calc.exe avessimo messo un trojan o un altro malware ci saremmo infettati.

Ciauz

[The Unmaker]

alquanto inquietante

[blackbit]

interessante ma non inquietante. se la fonte non è attendibile neanche un bambino vi scaricherebbe file... fosse anche un txt. e cmq perchè la cosa funzioni è indispensabile che insieme al txt scarichiate un'exe, quindi in fin dei conti non cambia molto.

scansione prima di aprire (se proprio devi aprire) e via

[The Unmaker]

ma i firewall di ultima generazione per Windows non bloccano questi tentativi?
Perchè ho provato con Comodo 3 e si è accorto di questo tentativo chiedendomi se bloccare o continuare

[totigno]

Quote:

Originariamente inviato da spakko

Ciao , ma per caso dici questo ?

Ciauz

mi sa che c'hai ragione...coincide documento di testo e calcolatrice...va bè magari sta cosa l'ho letta subito dopo che uscirono i primi rootkit e quindi mi sembravano chissà che cosa...quindi ricordavo male (come aveva detto hibone: "questa tecnica non esiste" ).
Chiedo scusa

[blackbit]

Quote:

Originariamente inviato da The Unmaker

ma i firewall di ultima generazione per Windows non bloccano questi tentativi?
Perchè ho provato con Comodo 3 e si è accorto di questo tentativo chiedendomi se bloccare o continuare

il firewall non c'azzecca na mazza con queste cose

[The Unmaker]

nemmeno se il firewall vanta di avere funzioni di un HIPS? (si dice cosi?) Come Comodo?